ASP.NET Core でパスワードをハッシュする

この記事では、PBKDF2 アルゴリズムを使ってパスワードをハッシュできる KeyDerivation.Pbkdf2 メソッドを呼び出す方法について説明します。

警告

KeyDerivation.Pbkdf2 API は低レベルの暗号化プリミティブであり、アプリを既存のプロトコルまたは暗号化システムに統合するために使います。 パスワード ベースのログインをサポートし、ハッシュされたパスワードをデータストアに格納する必要がある新しいアプリでは、KeyDerivation.Pbkdf2 を使わないでください。 新しいアプリでは、PasswordHasher を使う必要があります。 PasswordHasher について詳しくは、「ASP.NET Core の Identity PasswordHasher の概要」をご覧ください。

データ保護コード ベースには、暗号化キー派生関数を含む NuGet パッケージ Microsoft.AspNetCore.Cryptography.KeyDerivation が含まれています。 このパッケージはスタンドアロン コンポーネントであり、データ保護システムの rest には依存していません。 独立して使うことができます。 便宜上、ソースはデータ保護コード ベースと併置されています。

警告

次のコードは、KeyDerivation.Pbkdf2 を使って共有秘密キーを生成する方法を示したものです。 データストアへの格納用にパスワードをハッシュするためには使わないでください。

using Microsoft.AspNetCore.Cryptography.KeyDerivation;
using System.Security.Cryptography;

Console.Write("Enter a password: ");
string? password = Console.ReadLine();

// Generate a 128-bit salt using a sequence of
// cryptographically strong random bytes.
byte[] salt = RandomNumberGenerator.GetBytes(128 / 8); // divide by 8 to convert bits to bytes
Console.WriteLine($"Salt: {Convert.ToBase64String(salt)}");

// derive a 256-bit subkey (use HMACSHA256 with 100,000 iterations)
string hashed = Convert.ToBase64String(KeyDerivation.Pbkdf2(
    password: password!,
    salt: salt,
    prf: KeyDerivationPrf.HMACSHA256,
    iterationCount: 100000,
    numBytesRequested: 256 / 8));

Console.WriteLine($"Hashed: {hashed}");

/*
 * SAMPLE OUTPUT
 *
 * Enter a password: Xtw9NMgx
 * Salt: CGYzqeN4plZekNC88Umm1Q==
 * Hashed: Gt9Yc4AiIvmsC1QQbe2RZsCIqvoYlst2xbz0Fs8aHnw=
 */

実際のユース ケースとして、ASP.NET Core Identity の PasswordHasher 型のソース コードを参照してください。

注意

通常、.NET 参照ソースへのドキュメント リンクを使用すると、リポジトリの既定のブランチが読み込まれます。このブランチは、.NET の次回リリースに向けて行われている現在の開発を表します。 特定のリリースのタグを選択するには、[Switch branches or tags](ブランチまたはタグの切り替え) ドロップダウン リストを使います。 詳細については、「ASP.NET Core ソース コードのバージョン タグを選択する方法」 (dotnet/AspNetCore.Docs #26205) を参照してください。